随着成熟和新兴的面向消费者的恶意网络攻击增加，企业安全团队在 2023 年需要应对的许多挑战。 卡巴斯基的研究人员着眼于2023年网络攻击格局可能发生的演变，预计攻击者将扩大使用他们当前的许多策略，同时通过社交媒体、流媒体服务和在线游戏平台探索新的攻击路径。 对于企业管理员来说，品牌扩展到元宇宙世界（互联网上普遍和身临其境的虚拟世界）可能会使他们受到攻击。在远程工作和自带设备 (BYOD) 时代，任何消费者威胁都可能是企业威胁，因此 IT 安全团队最好紧跟互联网趋势提前做好预案。 网络攻击将增加 有安全厂商预计，网络犯罪分子将继续利用消费者对在线流媒体服务兴趣大增的机会，分发恶意软件、窃取数据和执行其他恶意活动。 许多攻击的目标是寻找下载合法流媒体应用程序或某一集节目的替代来源的人。卡巴斯基表示，期待看到网络犯罪分子利用广受期待的标题和流媒体服务提供商的名称，如Netflix、Hulu和Amazon Prime Video作为诱饵，让用户下载恶意软件或将他们引向钓鱼网站。 消费者还将面临更多的游戏订阅欺诈和涉及在线货币和人工制品的诈骗。攻击者将主要针对那些使用货币并允许出售游戏内物品和加速器的游戏，因为它们给攻击者提供了从其他非法活动中获得的资金的途径。 在今年早些时候的一份报告中，Equifax旗下的欺诈保护服务机构Kount也指出，在线货币为对手洗钱和进行支付卡欺诈提供了大量的机会。”例如，欺诈者为一个在线多人游戏创建一个免费账户，然后用偷来的信用卡将游戏中的货币和皮肤填满账户，”Kount研究人员指出，”一旦账户被填满，欺诈者就在交易网站上出售，”价格在几百到几千美元之间。 卡巴斯基预计，攻击者还将试图利用流行游戏机供应的持续短缺，通过虚假的预售优惠，以及声称销售游戏官方商店的欺诈性赠品和折扣。 新的攻击途径 卡巴斯基表示，与此同时，元空间、在线教育平台和某些类别的健康相关应用程序都将成为2023年的新攻击途径。 卡巴斯基预测说，隐私将成为元空间的一个主要问题。”卡巴斯基说：”由于元空间的体验是普遍的，不遵守地区性的数据保护法，如GDPR，这可能会在有关数据泄露通知的法规要求之间产生复杂的冲突。 其他人也对在完全沉浸式环境中通过VR头盔及其收集的摄像头、麦克风和运动追踪器收集的个人信息数量增加表示担忧。许多人预计，这些数据将揭示很多关于用户的位置、外观和其他私人信息，同时也使攻击者能够进行更复杂的网络钓鱼和社会工程诈骗。 卡巴斯基说：”尽管技术公司努力在元空间中建立保护机制，但 “虚拟虐待和性侵犯将蔓延到元空间”。”由于没有具体的监管或节制规则，这种可怕的趋势可能会跟随我们到2023年。” 元空间是与过去几年不同的领域。卡巴斯基的安全专家安娜-拉金娜说：假的、恶意的VR和AR应用程序，以及与这个新领域有关的隐私风险和潜在的风险，是我们以前都未曾遇到过的。 拉金娜说，某些类型的应用程序，例如那些与冥想有关的应用程序或那些消费者可能提供他们当前情绪状态的app，可能成为另一个新的攻击途径。 在这些应用中，你表明你当前的状态、情绪，然后他们为你选择合适的选项，这样的数据可以很容易地被收集和存储，以便跟踪用户的状态。她指出，一个获得此类数据的攻击者可以以高度针对性的方式成功执行鱼叉式网络钓鱼和社会工程诈骗。 拉金娜说，针对消费者的攻击应该引起企业安全团队的重视，对于潜在的危险应该提前做好准备。保证系统在技术上的足够安全。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351133.html 封面来源于网络，如有侵权请联系删除

安全内参11月29日消息，受网络攻击影响，太平洋岛国瓦努阿图政府已经离线约三个星期。民众难以获得服务，部分公务员也被迫重新拿起笔纸来办理事务。 几天过去，有官员告知当地新闻媒体，政府网络、官方网站和在线服务曾在11月6日遭到“入侵”。在此之后，政府一直对攻击事件和系统恢复问题三缄其口，这招致了一些批评声音，有新闻媒体甚至将这次黑客攻击称为“我们最深处的秘密”。 居民生活和工作受到极大影响 这次网络攻击，发生在总理Alatoi Ishmael Kalsakau领导的新政府宣誓就职后的第二天。由于政务系统离线，对居住在几十个岛屿上的32万瓦努阿图民众生活造成了极大不便。 太平洋咨询公司（一家与太平洋地区各企业及政府，包括瓦努阿图政府合作的咨询公司）管理合伙人Glen Craig表示，“这里的一切都通过电子邮件运行，所以邮件系统中断引发了很多问题。包括建筑许可、居留申请以及工作许可在内，很多待处理的事务都被搁置了。” 紧急服务也受到了影响，有一条报警热线被关闭了约一周之久。政府工作人员的工资未能按时支付，部分人还表示自己难以正常纳税。 在卢甘维尔岛帮助经营百万美元景观度假村的Gilbert Fries表示，“我有个朋友没法续签驾照，另一个朋友则无法在截止日期之前为一块土地上缴财产税。”他还提到，目前港口工人已经在用纸和笔来登记进出货物。 居住在该国首都维拉港的Craig表示，虽然居民们可以亲自到政府办公室缴纳税款，但“整个缴税记录，也是以手动方式在电子表格上完成的”。 攻击者索要赎金被拒，邻国正协助恢复业务 瓦努阿图最大邻国澳大利亚的太平洋事务部长Pat Conroy上周五表示，澳方一直在帮助瓦国政府恢复正常运作。 Conroy在瓦努阿图参加区域会议时告诉记者，“我们立即提供了帮助，并派出一支团队来协助应对这次可耻的网络攻击、做出事后响应。我们正努力让该国的IT系统恢复运转。” 澳大利亚的《悉尼先驱晨报》本月报道称，黑客曾索取赎金，但瓦国政府拒绝支付。外媒通过电话、短信和邮件多次联络瓦努阿图国家首席信息官，但对方并未回复置评请求。 尽管政府“每天”都会受到网络攻击，但系统被实际攻陷的情况并不多见。新南威尔士州大学网络安全研究所主任Nigel Phair表示，“这是因为政府一般在网络安全方面都做得很好。” Phair解释称，恶意黑客往往会瞄准政府愿意出钱保护的敏感数据。“比如说高度敏感的税务信息、社会保障或健康信息，以及总理部门经手的某些信息，犯罪分子往往能用这些数据换取更加有利的交换条件。相比之下，公园管理割草时间的IT系统的低敏感度信息则意义不大。” 多方面因素导致瓦努阿图缺乏应急计划 澳大利亚墨尔本莫纳什大学信息技术学院副院长Carsten Rudolph表示，由于人口稀少，瓦努阿图这个太平洋岛国很难养活足够应对网络安全挑战的全职政府雇员。 他解释称，“这个问题不仅跟太平洋地区的特点有关，也跟瓦国幅员辽阔、居民常因气候变化和灾害风险而迁徙等具体问题有关。总之，网络安全是一个系统性问题，必须把它跟其他问题统一起来做整体分析。” Craig则表示，瓦努阿图政府缺乏在网络长时间中断的情况下继续维持政务的应急计划，这确实“令人失望”。他认为“有些部门表示不错，能立即在社交媒体上公布员工的备用Gmail账户。但也有些部门未作反应，导致人们根本不知道该如何与其沟通。” Craig还提到，瓦努阿图堪称全球自然灾害最频繁、灾害风险最高的国家，受到气候变化的影响也极大。今年1月，另一太平洋国家汤加刚刚因火山喷发而陷入瘫痪，原因就是该国与世界连通的唯一海底光缆在灾害中断开。 Craig总结称，“在当今时代，对于像瓦努阿图遭遇的这类高风险事件，都应该有相应的强大系统来应对和解决。” 转自 安全内参，原文链接：https://www.secrss.com/articles/49516 封面来源于网络，如有侵权请联系删除

早在今年7月，CloudSEK研究人员就发现了一场大规模的网络钓鱼活动，黑客通过假冒阿联酋政府人力资源部开展诈骗。时至今日，经过4个月的时间，这场钓鱼活动态势非但没有减弱，反而变本加厉，其规模可能比之前认为的更大。 CloudSEK 的安全研究人员于11月28日发布了一份关于该威胁的最新报告。报告称，该公司发现了另外一组网络钓鱼域，这些域使用与 7 月份类似的命名方案进行注册，以通过供应商注册、合同投标和其他类型的诱饵来瞄准阿联酋的承包商。这场运动背后的威胁行为者正在战略性地购买/注册与受害域相似的关键字的域，并针对多个行业，例如整个中东的旅行和旅游、石油和天然气、房地产和投资。 该公司还警告说，他们发现了一些针对引诱用户的骗局：“除了供应商注册和合同招标外，他们还利用虚假的工作机会和投资机会来蒙蔽受害者。”上述网络钓鱼项目还可能被其他黑客团体利用，以特定用户为目标，窃取他们的密码、文件、加密钱包和其他敏感信息。 在CloudSEK发现的所有域中，有些只启用了电子邮件服务器，而另一些则设置了网站来诱骗用户认为它们是合法企业。一些诈骗域会重定向到合法域以诱骗受害者信任网络钓鱼电子邮件。CloudSEK 解释说：“该活动对删除或托管禁令具有弹性，因为它使用具有类似模板的预存储静态网页。这些是在禁令的情况下从一个域上传到另一个域。” 该公司表示，他们分析了 35 个网络钓鱼域，其中 90% 的目标是阿布扎比国家石油公司 (ADNOC)、沙迦国家石油公司 (SNOC) 和阿联酋国家石油公司 (ENOC)，并且托管地区在北美。这种偏好是因为该地区有几个负担得起的供应商可供选择，此外，服务提供商也需要时间来处理删除请求。 从技术角度来看，这家安全公司表示，因为不需要像恶意软件活动那样复杂的基础设施，所以企业电子邮件妥协 (BEC) 的成本效益一般比很高，只需要带有电子邮件服务器的域名，以及来自第三方的域名，足以进行这些攻击。 CloudSEK 表示，合法地追捕这些攻击者可能会阻碍他们的行动，但考虑到一些域名提供商可能在一个国家而邮件服务器在另一个国家，所以这是一项具有挑战性的任务。因此，最好的解决方案是采取预防措施，从一开始就规避它们发生。比如对员工进行 BEC 诈骗培训，避免从未知来源下载可疑文件或点击可疑链接，启用文件扩展名的可见性(在Windows系统上)，以便在下载未知扩展名的文件之前发现它们，还有为支付制定多级身份验证和识别机制。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/nilg2fZ6QR2MAJENzhrN1A 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： ESET宣布发现了一个影响宏碁笔记本电脑的漏洞，该漏洞允许攻击者停用UEFI Secure Boot。 专家解释说，该漏洞被追踪为CVE-2022-4020，与联想公司本月早些时候披露的漏洞类似。 与联想的情况一样，攻击者可以直接从OS创建NVRAM变量来触发这个漏洞，使UEFI安全引导失效。 Secure Boot是最新的统一可扩展固件接口（UEFI）2.3.1的一个安全特性，旨在通过验证其数字签名来检测对引导加载程序、关键操作系统文件和未经授权的选项rom的篡改。在检测能够攻击或感染系统规范之前，它们将被阻止运行。 能够绕过Secure Boot的攻击者可以绕过计算机上运行的任何安全措施，即使在重新安装操作系统的情况下也可以实现持久性。 CVE-2022-4020影响宏碁Aspire A315-22的某些版本，该漏洞存在于这些宏碁笔记本设备上的HQSwSmiDxe DXE驱动程序中。与联想的问题类似，具有提升权限的攻击者可以利用该漏洞通过修改NVRAM变量来修改UEFI Secure Boot设置。如果NVRAM变量“BootOrderSecureBootDisable”存在，则DXE驱动程序BootOrderDxe只需禁用UEFI Secure Boot。 ESET解释说，该漏洞仅影响Aspire A315-22/22G、A115-21和Extensia EX215-21/21G 5台设备。根据宏碁的说法，更新应该作为关键的Windows更新发布。或者，可以在此处下载更新的BIOS版本。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 推特首席执行官埃隆·马斯克证实了在该平台上为直接消息提供端到端加密（E2EE）的计划。 这项功能是马斯克对Twitter 2.0愿景的一部分，预计将成为所谓的“万能应用”。据马斯克称，其他功能包括长篇推文和支付。 该公司的加密消息计划于2022年11月中旬首次曝光，当时移动研究人员Jane Manchun Wong发现Twitter的Android应用程序中，引用E2EE聊天会话密钥的源代码发生了变化。 值得注意的是，其他各种消息平台，如Signal、Threema、WhatsApp、iMessage、Wire、Tox和Keybase，都已经支持消息加密。 此前，谷歌在其基于RCS的Android消息应用程序中启用E2EE进行一对一聊天，目前正在对群聊进行同样的尝试。同样，Facebook在去年8月开始默认为特定用户在Messenger上启用E2EE。 马斯克进一步表示，该社交媒体平台的新用户注册数量创下了“历史新高”，截至11月16日，过去七天平均每天超过200万，比2021年同期增长66%。Twitter拥有超过2.538亿可盈利日活跃用户（mDAU）。 本月早些时候，在推出改版后的Twitter Blue订阅服务前后，该服务的假冒行为激增。 新的订阅等级暂定最早于2022年12月2日推出，采用多色验证系统，旨在为公司发放金色徽章，为政府发放灰色徽章，为个人账户发放蓝色徽章。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

美国当地时间11月25日，美国联邦通信委员会（FCC）正式宣布，禁止进口和销售包括华为和中兴通讯在内的，中国科技巨头制造的电信和监控设备，认为这些设备“对国家安全构成不可接受的风险”。 此次涉及的公司还包括海能达、海康威视和大华股份制造的电信和视频监控摄像头，这些设备一般用于公共安全、政府设施安保、关键基础设施监控和国家安全环境等场景。 公开资料显示，华为、中兴、海康威视、海能达和大华等5家中企，此前都被FCC列入了2021年3月12日的 “对美国国家安全构成威胁的通信设备和服务”清单。 FCC主席Jessica Rosenworcel在11月25日的命令中表示，“这些新规则是我们保护美国人民免受涉及电信的国家安全威胁行动的重要部分。” 2022年9月20日，FCC将太平洋网络公司和中国联通（美洲）也加入 “对美国国家安全构成威胁的通信设备和服务”清单，至此中国三大电信运营商全部上榜。FCC称这一行动是为了遏制中国国有通信运营商在美国网络中的影响力。 上个月，拜登政府还宣布，将收紧对中国出口的可用于军事应用的半导体产品的监管。 不仅仅是美国，英国也采取了类似措施，禁止在“敏感”的政府场所安装中国企业生产的安全监控摄像头，涉及海康威视和大华股份两家企业。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350904.html 封面来源于网络，如有侵权请联系删除

Binarly 研究人员发现，戴尔、惠普和联想的设备仍在使用过时版本的 OpenSSL 加密库。 OpenSSL软件库允许通过计算机网络进行安全通信，能够有效防止窃听。OpenSSL包含开源的安全套接字协议（SSL）和传输层安全（TLS）协议，研究人员通过分析上述制造商使用的设备的固件图像时发现了问题所在。 专家们分析了作为任何UEFI固件所必要的核心框架之一EDKII，该框架在CryptoPkg组件中的OpenSSL库（OpensslLib）上有自己的子模块和包装器。EDK II 是一个现代化、功能丰富的跨平台固件开发环境，适用于 UEFI 和 UEFI 平台初始化 (PI) 规范。EDKII的主要存储库托管在Github上，并经常更新。但专家们在分析这些厂商的设备时，发现在其固件镜像中使用过时版本的OpenSSL：0.9.8zb、1.0.0a 和 1.0.2j，其中最新的 OpenSSL 版本早在2018 年就已发布。专家们甚至还在部分设备中发现了 更早的、来自2009 年发布的 0.9.8l 版本。 戴尔、惠普和联想部分设备中的 OpenSSL版本 Binarly Platform 在野外检测到的戴尔、惠普和联想设备中 不同OpenSSL 版本占比 Binarly 发布的报告表示，许多与安全相关的固件模块包含明显过时的 OpenSSL 版本。其中一些像 InfineonTpmUpdateDxe 包含的代码早在8年前就已成为易受攻击的“不安全代码”。 专家指出，同一个设备固件代码往往依赖不同版本的OpenSSL。 选择这种设计的原因是第三方代码的供应链依赖于其自己的代码库，而设备固件开发人员通常无法使用这些代码库，这通常会增加供应链的复杂性，带来潜在的安全风险。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350909.html 封面来源于网络，如有侵权请联系删除

据悉，Koxic勒索软件正在韩国境内传播。它在今年早些时候首次被发现，最近该团队发现，一个外观和内部勒索笔记都经过修改的文件被检测到，并被ASD基础设施屏蔽。 当感染时，“.KOXIC_[Random string]”扩展名将添加到加密文件的名称中，并在每个目录中生成TXT文件勒索通知。 最近收集的勒索信与BlueCrab（Sodinokibi，REvil）勒索软件的勒索笔记相似，该勒索软件曾在韩国发行。 BlueCrab有自己的网站，并指定用户应该通过TOR浏览器访问它。与BlueCrab相反，Koxic勒索软件通过电子邮件指导联系。 在过去收集的Koxic勒索软件样本中，有些样本的勒索笔记完全不同，有些则与BlueCrab格式几乎相同。但这两个勒索软件之间似乎没有直接联系，因为它们的代码没有相似之处。 另外需要注意的是，部分名称被故意更改以隐藏UPX包装。这种技术被称为UPX技巧，是一种常用的方法，用UPX打包的文件被修改以阻碍分析或绕过AV软件的自动解包。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2027/ 消息来源：ASEC，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码，预计影响到多达540多万用户。据悉，这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。 威胁者在流行的黑客论坛Breached Forums上提供出售被盗数据。1月，一份发表在Hacker上的报告声称发现了一个漏洞，攻击者可以利用这个漏洞通过相关的电话号码/电子邮件找到Twitter账户，即使用户在隐私选项中选择了防止这种情况。 该漏洞允许任何一方在没有任何认证的情况下，通过提交电话号码/电子邮件获得任何用户的twitter ID（这几乎等同于获得一个账户的用户名），即使用户在隐私设置中已经禁止了这一行为。该漏洞的存在是由于Twitter的安卓客户端所使用的授权程序，特别是在检查Twitter账户的重复性的程序。 zhirinovskiy通过漏洞赏金平台HackerOne提交的报告中读到了这样的描述。这是一个严重的威胁，因为人们不仅可以通过电子邮件/电话号码找到那些被限制了能力的用户，而且任何具有基本脚本/编码知识的攻击者都可以枚举一大块之前无法枚举的Twitter用户群（创建一个具有电话/电子邮件到用户名连接的数据库）。这样的数据库可以卖给恶意的一方，用于广告目的，或者用于在不同的恶意活动中给名人打标签。 卖家声称，该数据库包含从名人到公司的用户数据（即电子邮件、电话号码），卖家还以csv文件的形式分享了一份数据样本。 8月，Twitter证实，数据泄露是由研究人员zhirinovskiy通过漏洞赏金平台HackerOne提交的现已修补的零日漏洞造成的，他获得了5040美元的赏金。 据悉，这个错误是由2021年6月对我们的代码进行更新导致的。当我们得知此事时，我们立即进行了调查并修复了它。当时，我们没有证据表明有人利用了这个漏洞。 本周，网站9to5mac.com声称，数据泄露的内容比该公司最初报告的要多。该网站报告说，多个威胁者利用了同一个漏洞，网络犯罪地下的数据有不同的来源。去年Twitter的一次大规模数据泄露，暴露了500多万个电话号码和电子邮件地址，比最初报告的情况更糟糕。我们已经看到证据表明，同一个安全漏洞被多人利用，而被黑的数据已经被几个来源提供给暗网出售。 9to5Mac的说法是基于由不同的威胁行为者提供的包含不同格式的相同信息的数据集的可用性。消息人士告诉该网站，该数据库 “只是他们看到的一些文件中的一个”。似乎受影响的账户只是那些在2021年底启用了 “可发现性|电话选项（在Twitter的设置中很难找到）”的账户。 9to5Mac看到的档案包括属于英国、几乎所有欧盟国家和美国部分地区的Twitter用户的数据。专家们推测，多个威胁者可以进入Twitter数据库，并将其与其他安全漏洞的数据相结合。 账号@chadloder（Twitter在消息披露后）背后的安全研究员告诉9to5Mac.电子邮件-Twitter配对是通过这个Twitter可发现性漏洞运行现有的1亿多电子邮件地址的大型数据库得出的”。该研究人员告诉该网站，他们将与Twitter联系以征求意见，但整个媒体关系团队都离开了该公司。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/_WiUXUxnzepgCuaiq9gCkA 封面来源于网络，如有侵权请联系删除

11月、12月是电商狂欢季，随之而来的是大批快递到货。你可知道，客户的物流信息可是香饽饽，总有坏人盯着！否则怎么客户刚下单不久，就接到了诈骗电话。 今年“双十一”以来，浙江慈溪网警大队接到多家电商公司报警，客户刚在网店下单，随后就接到诈骗电话，引发许多客户不满。 电商公司百思不得其解——明明按正常流程发的货，怎么骗子就知道了我们平台的发货信息呢？ 慈溪网警对受害网店的电脑进行勘查，发现部分连接打印机的电脑中被植入了不明木马软件。顺线循迹深挖，民警最终确定了犯罪嫌疑人。 慈溪警方果断出击，抓获了一个专门入室安装木马软件盗取打印信息的团伙，而背后的利益链条令人咋舌。 经查，犯罪嫌疑人蒙某和吴某拥有一定技术水平，此前通过境外聊天软件进行交流，购买木马软件。随后，他们在慈溪电商聚集地撒网，通过应聘等方式，寻找可以下手的电商公司。 深夜，他们秘密潜入电商公司，他们从不偷盗，只是在电商公司的办公电脑上安装木马软件，在他们眼中，海量的客户信息远比实物本身更有价值。 这些木马软件已被设置成自动将秘密窃取的客户信息上传到境外服务器，上家一旦通过木马软件获取打印的客户信息，便会支付高额的佣金。 为了赚取佣金，早在“双十一”购物节前夕，犯罪嫌疑人蒙某和吴某就连续多次作案，在慈溪6家电商公司里的电脑上安装了木马软件。 截至案发，他们非法获取物流信息3000余条，目前两名犯罪嫌疑人均已被依法采取刑事强制措施。 网警提醒 电商运营者需严格审核打单人员的资质，加强公司内部的网络安全知识培训，办公电脑务必密码锁屏，谨防客户信息在不知不觉中被窃取。 转自 安全内参，原文链接：https://www.secrss.com/articles/49375 封面来源于网络，如有侵权请联系删除